C OLLECTE DES DONNÉES - CADRE METHODOLOGIQUE

3. CADRE METHODOLOGIQUE

3.2 C OLLECTE DES DONNÉES

Conduzir uma auditoria de sistemas de informação é um exercício de tratar com a complexidade, dada a abundância de sistemas. Por ser a complexidade a causa principal de problemas encarada por muitos profissionais, foram desenvolvidas algumas orientações para reduzi-la, sendo as duas principais:

1. Fatorar o sistema para ser avaliado em subsistemas;

2. Determinar a confiança de cada subsistema e as implicações do nível de segurança de cada subsistema para o nível geral de confiança no sistema.

3.2.1 Fatoração em Subsistemas

O primeiro passo para entender um sistema complexo é parti-lo em subsistemas. Um subsistema é um componente de um sistema que desempenha uma função específica necessária para que o sistema atinja seus objetivos fundamentais. A fatoração é um processo repetitivo que termina quando se sente que o sistema foi partido em partes pequenas o suficiente para serem entendidas e avaliadas. O sistema a ser avaliado

pode então ser descrito como uma estrutura de níveis de subsistemas, cada um desempenhando uma função necessária por algum subsistema de nível superior (figura 3.1)

Sistema

Subsistema

Subsistema Subsistema

Subsistema Subsistema Subsistem

Figura 3.1: Estrutura de níveis de sistema e subsistemas

Uma forma sugerida para o processo de fatoração é considerar a função que ele desempenha: subsistema de entrada de pedidos, contas a receber, etc. Além da função, a teoria de sistemas indica duas outras orientações que deveriam fundamentar a forma de delinear subsistemas. Primeira, cada subsistema deveria ser relativamente independente de outros subsistemas, ou seja, fracamente acoplado a outros subsistemas. Dessa forma cada subsistema pode ser avaliado isoladamente, podendo-se desconsiderar os efeitos das forças e fraquezas dos controles em outros sistemas. Segunda, cada subsistema deveria ser internamente coeso. Todas as atividades desempenhadas deveriam ser direcionadas para executar uma única função, o que facilita o entendimento e avaliação das atividades cumpridas pelo subsistema.

Deve-se, portanto, avaliar a extensão do acoplamento e coesão no subsistema escolhido. Se ele não for fracamente acoplado e internamente coeso, deve-se realizar uma fatoração diferente. Se nenhuma fatoração parecer capaz de delinear subsistemas que possuam essas características, será difícil avaliar a confiança do sistema, porque suas atividades serão muito obscuras.

Conceitualmente, um sistema pode ser fatorado de diversas maneiras diferentes. Duas maneiras são consideradas especialmente úteis na condução de auditorias de sistemas de informações. A primeira é de acordo com as funções administrativas que devem ser desempenhadas para garantir que o desenvolvimento, implementação, operação, e manutenção de sistemas de informação prossigam em uma maneira planejada e controlada. Sistemas administrativos funcionam para prover uma

infraestrutura estável na qual sistemas de informação podem ser construídos, operados, e mantidos no cotidiano. Vários tipos de sistemas administrativos foram identificados que correspondem à organização hierárquica e algumas das principais tarefas desempenhadas pela função dos sistemas de informação:

• Administração superior: Deve garantir que a função de sistemas de informação seja bem administrada. É responsável primeiramente pelas decisões políticas de longo prazo de como os sistemas de informação serão usados na organização;

• Administração de sistemas de informação: Tem a responsabilidade geral pelo planejamento e controle de todas atividades de sistemas de informação. Também aconselha a administração superior em relação à tomada de decisão política de longo prazo e traduz as políticas de longo prazo em metas e objetivos de curto prazo;

• Administração de desenvolvimento de sistemas: É responsável pelo projeto, implementação, e manutenção dos sistemas de aplicação;

• Administração de programação: É responsável pela programação de novos sistemas, manutenção de sistemas antigos, e prover software para suporte de sistemas em geral;

• Administração de dados: É responsável por estabelecer questões de planejamento e controle com relação ao uso dos dados da organização;

• Administração de garantia de qualidade: É responsável por assegurar o desenvolvimento, implementação, operação, e manutenção de sistemas de informação, conforme padrões de qualidade estabelecidos;

• Administração de segurança: É responsável por controles de validação e segurança física sobre a função de sistemas de informação;

• Administração de operação: É responsável pelo planejamento e controle das operações diárias dos sistemas de informação.

A segunda fatoração é de acordo com as funções da aplicação que precisam ser assumidas para executar processamento de informação confiável. Corresponde à

abordagem cíclica usada tradicionalmente para conduzir uma auditoria. Os sistemas de informação suportando uma organização são agrupados primeiramente em ciclos, que correspondem às áreas de negócio das empresas. Cada ciclo é fatorado em um ou mais sistemas de aplicação. Esses, por sua vez, são fatorados em subsistemas. O conjunto de subsistemas de aplicação inclui o seguinte:

• Fronteira: Compreende os componentes que estabelecem a interface entre o usuário e o sistema;

• Entrada: Compreende os componentes que capturam, preparam, e entram comandos e dados no sistema;

• Comunicações: Compreende os componentes que transmitem dados entre subsistemas e sistemas.

• Processamento: Compreende os componentes que executam a tomada de decisões, cálculos, classificação, ordenação, e sumarização dos dados no sistema;

• Base de dados: Compreende os componentes que definem, adicionam, acessam, modificam, e excluem dados no sistema;

• Saída: Compreende os componentes que buscam e apresentam os dados aos usuários do sistema.

Nenhuma dessas abordagens é definitiva, mas fundamentam o que se defende em muitos corpos profissionais de auditores. Elas permitem reduzir a complexidade a um ponto em que se pode entender e avaliar a natureza e a confiança dos subsistemas.

3.3 RESUMO

Nesse capítulo foi examinada a natureza dos controles, definidos como um sistema que previne, detecta, ou corrige eventos ilegais. Foi também apresentada a necessidade de fatoração dos sistemas em subsistemas, de forma a reduzir a complexidade da tarefa de auditoria de sistemas de informação. Além disso, salientou- se a importância da independência dos subsistemas entre si, e a necessidade dos subsistemas serem internamente coesos, devendo ser todas as atividades desempenhadas

direcionadas para uma única função, o que facilita o entendimento e avaliação das atividades cumpridas pelo subsistema. Foram ainda discutidas duas abordagens de fatoração em subsistemas consideradas especialmente úteis: de acordo com as funções administrativas e de acordo com as funções de aplicação. Essa visão da estratégia de implementação de controles é muito importante para fundamentar a abordagem metodológica que será proposta nesse trabalho, a qual explorará unicamente os registros desses controles para gerar os resultados prometidos.

Dans le document Les facteurs d'apprentissage rencontrés dans la formation des assistant(e)s socio-éducatif(ve)s : des affordances environnementales à l'engagement personnel (Page 35-39)